我先简单说一下原理。
一般原则:
使用SSL,当用户使用浏览器访问web服务器时,将在客户端和服务器之间建立安全的SSL通道。生成SSL会话时:
在第一步中,服务器将传输其服务器证书,客户端将自动分析服务器证书以验证服务器的身份。
在第二步中,服务器将要求浏览器显示客户端证书,在验证客户端证书之前,服务器不会对用户进行身份验证。这种认证是对客户端证书的验证,包括验证。
客户端证书是否由新服务器的证书颁发机构颁发,客户端证书是否在有效期内,客户端证书是否有效(是否被篡改等。)以及客户端证书是否已被
被服务器撤销等。认证通过后,服务器会分析客户端证书,获取用户信息,根据用户信息查询访问控制列表,决定是否授权访问。
Iis返回了403。13因为客户端证书被吊销,认证失败,全部没有访问权限。
IIS无法连接到CA的CRL,导致所有证书被视为无效。如果是在测试环境中,可以选择禁止IIS检查CRL。如果是在正式的运行环境下,需要CA的管理来解决。因为一旦禁用IIS来检查CRL,
这意味着IIS信任的证书颁发机构颁发的所有证书只有在没有过期的情况下才被视为有效。这在正式的运行环境中是非常危险的,因为不能保证CA永远不会撤销任何已经颁发的证书。
1.首先,确认系统安装的服务。
步骤:右键单击“我的电脑”和“管理”,然后在左侧选择“角色”,如下所示
请确认角色服务中安装了以下服务:
2.具体操作步骤:从“开始”和“运行”输入cmd,点击确定,进入dos界面。
(1)使用CD命令进入AdminScripts文件夹。
示例:cd C:\Inetpub\AdminScripts
cscript adsutil.vbs设置w3svc/n/CertCheckMode 1(win 2008 IIS 7)
n代表网站ID。
注意:CertCheckMode值为0,这将强制进行CRL检测。
CertCheckMode的值为1,强制不检测CRL。